nicht angemeldet
Seltsamer GET-Request im Apache Log
0 0 0 0 Code red worm
0 0 SlashDot-Artikel
0 0 0
Seltsamer GET-Request im Apache Log
Hallo Leute,
ich habe einen kleinen privaten Webserver mit wechselnden IPs laufen. Heute tauchen im Log des Apaches mehrfach folgende Anforderungen auf:
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
Die werden zwar mit Fehlercode 400 beantwortet ("Client sent malformed Host header"), aber ein bißchen zu denken geben mir die Requests noch. Sie kommen sporadisch, so alle 10 bis 15 Minuten, und jedesmal von anderen IP-Adressen.
Für mich sieht es ganz nach einem Angriff der Sorte "Buffer Overflow" aus. Kennt jemand ähnliches?
Bin für jeden Tip dankbar!
Gruß
Thorsten
-
Hallo Thorsten,
Kennt jemand ähnliches?
Ja, und zwar seitdem ich mir vor 20 Minuten meine Log-Files angesehen habe (ohne diesen Beitrag hier gesehen zu haben).
Erstes auftreten: 16:17 Uhr, seitdem 13x (seit 18:32 regelmäßig)Was das allerdings ist, weiß ich auch nicht.
Viele Grüße
Carsten-
Moin!
Kennt jemand ähnliches?
Ja, und zwar seitdem ich mir vor 20 Minuten meine Log-Files angesehen habe (ohne diesen Beitrag hier gesehen zu haben).Ich habe dieselben Eintraege in meinen Logs. Wie waers mit einer Anzeige wegen Abuse? Bringt sowas ueberhaupt was?
Ciao!
Buggi-
Moin, Moin!
Kennt jemand ähnliches?
Ja, und zwar seitdem ich mir vor 20 Minuten meine Log-Files angesehen habe (ohne diesen Beitrag hier gesehen zu haben).Ich habe dieselben Eintraege in meinen Logs. Wie waers mit einer Anzeige wegen Abuse? Bringt sowas ueberhaupt was?
Die Zeiten von Carsten decken sich mit meinen. Abuse-Hinweis würde ich unterstützen. Aber wen alarmiert man? Die geloggten Hosts sind wild verstreut und wohl eher per Zufallsprinzip erstellt:
207.139.195.169 [19/Jul/2001:16:16:50 +0200]
213.16.130.92 [19/Jul/2001:18:49:22 +0200]
webmail2000.nyc.yr.com [19/Jul/2001:19:02:37 +0200]
dns1.eee.ne.jp [19/Jul/2001:19:13:56 +0200]
p02.mb01.psg.skyinet.net [19/Jul/2001:19:16:00 +0200]
38.204.35.98 [19/Jul/2001:19:28:23 +0200]
cm152.5.120.24.lvcm.com [19/Jul/2001:20:00:55 +0200]
reno.exlibris-usa.com [19/Jul/2001:20:16:08 +0200]
lab.livens.org [19/Jul/2001:20:34:01 +0200]
203.248.71.78 [19/Jul/2001:20:40:29 +0200]
chi-tgn-goh-vty37.as.wcom.net [19/Jul/2001:20:50:58 +0200]
www.feroliegroup.com [19/Jul/2001:20:55:35 +0200]
211.41.87.22 [19/Jul/2001:21:08:15 +0200]
194.192.15.46 [19/Jul/2001:21:42:12 +0200]
ntttkyo30087.ppp.infoweb.ne.jp [19/Jul/2001:21:49:43 +0200]
211.247.143.25 [19/Jul/2001:21:50:44 +0200]
h00a0c93f3787.ne.mediaone.net [19/Jul/2001:22:12:37 +0200]Was tun sprach Zeus?
Gruß
Thorsten-
Hi,
Ich habe dieselben Eintraege in meinen Logs. Wie waers mit einer Anzeige wegen Abuse? Bringt sowas ueberhaupt was?
Die Zeiten von Carsten decken sich mit meinen. Abuse-Hinweis würde ich unterstützen. Aber wen alarmiert man? Die geloggten Hosts sind wild verstreut und wohl eher per Zufallsprinzip erstellt:
Bei sowas könnt ihr gleich veregssen eine Anzeige zu machen.
Eine Rückverfolgung der Täter ist zu aufwendig und der Schaden, der sich hier ja nur durch "Rütteln an der Tür" nicht messen läßt ist auch zu gering.Erst für den Fall, dass es einen erfolgreichen Angriff gegeben hat, können die Logs was nutzen, nämlich dadurch, daß ihr -wenn der Täter durch Zufall oder Blödheit dessen geschnappt wurde- damit nachweisen könnt, das dort ein Vorsatz und kein Zufall im Spiel war.
Aber wenn der Einbruch erfolgreich war, stellt sich die Frage, wie ihr eure Logs sichert? Wenn die auf dem eingebrochenen System ebenfalls liegen und nicht an eine Bastion auf einen anderen Rechner weitergelietet wurden, dann habt ihr nichtmal mehr Logs.
Solange es keine internationale IT-Polizei gibt, wird sich an dieser blöden Situation auch nichts ändern.
Eure einzige reele Chance: Immer schön BugTraq lesen und immer Patchen, patchen, patchen!
Für jemand der sich auskennt, gäb es noch den anderen Weg, daß man auf eigene Faust versucht den Täter zurückzuverfolgen. Aber um dies zu tun müßt ihr an die Logs anderer Router und Rechner ran, die man aber auf normalen Weg nicht bekommt. Um die also zu bekommen, müßtet ihr selbst zum Einbrecher werden.
Ciao,
Wolfgang
-
-
-
-
Hallo Thorsten,
scheint das Problem mit dem MS Index Server Buffer overflow zu sein. Wenn die Beschreibung unter http://lists.jammed.com/bugtraq/2001/06/0242.html
stimmt, scheint jemand auf der Suche nach ungeschützten IIS zu sein.Gruß
Thomas-
Hi Thomas,
scheint das Problem mit dem MS Index Server Buffer overflow zu sein. Wenn die Beschreibung unter http://lists.jammed.com/bugtraq/2001/06/0242.html
stimmt, scheint jemand auf der Suche nach ungeschützten IIS zu sein.Nun ja, dann kann man sich als Indianer doch zurücklehnen (ich will hier jetzt allerdings keinen typischen "Mit-Linux-wäre-das-nicht-passiert-Heise-News-Forum-Flamewar" starten)
Ob rauskriegen kann was das versteckt Programm tut?
Gruß
Thorsten-
(ich will hier jetzt allerdings keinen typischen "Mit-Linux-wäre-das-nicht-passiert-Heise-News-Forum-Flamewar" starten)
Denn damit wärst Du wohl zu voreilig! :-)
http://www.teamone.de/selfaktuell/forum/?m=143106&t=27330Reiner
-
-
Hi,
scheint das Problem mit dem MS Index Server Buffer overflow zu sein. Wenn die Beschreibung unter http://lists.jammed.com/bugtraq/2001/06/0242.html
stimmt, scheint jemand auf der Suche nach ungeschützten IIS zu sein.Nicht jemand, sondern ein Virus, der gerade auf nen Rechner von nem unverbesserlichen "Ich klick auf jedes Attachment"-User läuft.
Ref BugTraq ID # 2012
http://www.securityfocus.com/vdb/bottom.html?vid=2012Ciao,
Wolfgang
-
-
Hallo Leute,
ich habe einen kleinen privaten Webserver mit wechselnden IPs laufen. Heute tauchen im Log des Apaches mehrfach folgende Anforderungen auf:
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
Hallo!
Wollt mich nur melden - Ihr seid nicht allein, mich hats auch erwischt. Der Apache auf meiner Box zeigt 19/Jul/2001:18:36:44 +0200 fuer den ersten request an, dann kommen 12 weitere zugriffe dieses typs, und der letzte zugriff vor wenigen minuten ([20/Jul/2001:01:54:39 +0200), ich werd die sache im auge behalten..
danke fuer die tips, ohne dieses post haett ichs nich bemerkt.Gute Nacht
-Hendrik--
Mich auch:
51.conx.net - - [19/Jul/2001:19:39:50 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
216.140.187.78 - - [19/Jul/2001:19:50:19 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
63.102.176.164 - - [19/Jul/2001:20:13:53 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
200.11.203.90 - - [19/Jul/2001:20:14:48 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
205.173.182.249 - - [19/Jul/2001:20:20:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
218.c210-85-212.ethome.net.tw - - [19/Jul/2001:20:54:26 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
211.99.30.195 - - [19/Jul/2001:21:23:40 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
adsl-63-193-6-211.dsl.snfc21.pacbell.net - - [19/Jul/2001:21:34:37 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
212.5.34.113 - - [19/Jul/2001:21:36:51 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
62.110.23.134 - - [19/Jul/2001:22:10:14 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
142.176.144.84 - - [19/Jul/2001:22:19:05 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
ns1.magically.co.jp - - [19/Jul/2001:22:58:49 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
212.247.197.188 - - [19/Jul/2001:23:14:00 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
chc-blc-195-103.accenture.com.251.170.IN-ADDR.ARPA - - [19/Jul/2001:23:16:06 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
mail.corptocorp.com - - [19/Jul/2001:23:18:58 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
65.42.1.230 - - [19/Jul/2001:23:33:24 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
211.176.61.72 - - [19/Jul/2001:23:34:42 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
sdsl-216-36-102-122.dsl.bos.megapath.net - - [20/Jul/2001:00:10:45 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
www2.rocketscience.ie - - [20/Jul/2001:00:53:03 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
209.158.191.76 - - [20/Jul/2001:01:32:57 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
63.148.22.162 - - [20/Jul/2001:01:33:52 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
202.104.181.48 - - [20/Jul/2001:01:37:51 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 404 -
-
-
hi!
Bin für jeden Tip dankbar!
Bei SlashDot gibt es inzwischen auch einen Artikel dazu mit ein paar
Infos:
http://slashdot.org/article.pl?sid=01/07/19/2230246&mode=threadbye, Frank!
-
hi!
http://slashdot.org/article.pl?sid=01/07/19/2230246&mode=thread
Jaja, ich weiß:
http://slashdot.org/article.pl?sid=01%2F07%2F19%2F2230246?mode=threadbye, Frank!
-
hi!
http://slashdot.org/article.pl?sid=01%2F07%2F19%2F2230246&mode=thread
Sorry, aber wenn es jetzt nicht geht, weiß ich auch nicht mehr
weiter... :((bye, Frank!
-
Hi
http://slashdot.org/article.pl?sid=01%2F07%2F19%2F2230246&mode=thread
Sorry, aber wenn es jetzt nicht geht, weiß ich auch nicht mehr
weiter... :((Aller guten Dinge sind drei ;-)
Gruß
Thorsten
-
-
-
-
Moin
Hier mal das was ich zu dem Thema habe auftreiben können:
Also, der Wurm heisst "Code Red" und verbreitet sich über ein Sicherheitsloch im IIS. Ein Fix dafür steht bereit und jeder der einen IIS betreibt sollte ihn einspielen. Die glücklichen die einen Apache haben können sich hingegen getrost zurücklehnen und beochbachten wie alle infizierten Rechner versuchen werden www.whitehouse.gov lahmzulegen, wobei evt. auch ein paar Cisco-Router und LanModems dran glauben werden, ganz zu schweigen von den Datenmengen die dabei durchs Internet geschaufelt werden. ;-|
Wichtig: Advisory und Fix von Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp
Weiteres Material zum schmökern:
http://www.internetworld.de/sixcms/detail.php?template=detail_nachrichten&id=16529
http://www.heise.de/newsticker/forum/go.shtml?tres=1&msg=20&g=20010720wst000
http://slashdot.org/articles/01/07/19/2230246.shtml
http://news.cnet.com/news/0-1003-200-6604515.html--
Henryk Plötz
Grüße von der Ostsee -
Hallo,
ich habe einen kleinen privaten Webserver mit wechselnden IPs laufen. Heute tauchen im Log des Apaches mehrfach folgende Anforderungen auf:
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
Ist zar mittlerweile Aufgeklaert, aber ich poste dennoch mal den Artikel
aus der ApacheWeek. Is ne schoene Stelle drin.IIS vulnerabilities show up in Apache log files
We've received a large number of messages over the last few days
from system administrators who have seen worrying entries in their
Apache access logs. The requests look like this:
192.168.2.12 - - [19/Jul/2001:16:55:47 +0100] "GET /default.ida?NNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 252 -If you are running Apache there is nothing to worry about, these
requests are part of the [3]Code Red Worm virus designed to search
out vulnerable IIS servers running on Windows.However if you'd like to become vulnerable to attacks such as this,
Microsoft have a toolkit that will let to migrate from [4]Apache to
IIS. (Allegedly the last step is append the text "3L33T crew ownz
you" to the bottom of all your web pages to save the crackers some
time)3. http://www.cert.org/advisories/CA-2001-13.html
4. http://www.microsoft.com/ISN/downloads/migration_toolsp65238.aspWas mir so gefiehl:
However if you'd like to become vulnerable to attacks such as this
Man soll ja auch Spass bei der Arbeit haben.
gruesse
jens mueller -
Freut ich nicht zu früh, daß nur NT (IIS) betroffen sei...
Vor ein paar Monaten hatte ich es mit einem LION (Ramen-Clone) auf meinem Redhat 6.1 zu tun.
Das war wenig lustig!Abhilfe schafft ein Update auf ein neues BIND!
Reiner